忙しい人のためのセキュリティ・インテリジェンス - 2021/02/22

#2021022nd #202102 #忙しい人のためのセキュリティ・インテリジェンス_バックナンバー

今週のおすすめ/一言所管

Got Revenue? Alternative Financing Tools Look To Help SaaS Founders Avoid DilutionとDebt is Coming について。考え見れば当たり前だけど、資金調達には様々な手法があり、今までEquityベースばかりだったStart Upにもそれ以外の資金調達手法の波が寄せつつある模様。例えば、ARRベースで1念ほどの短期融資だったり、あるいは経常収益の証券化による借入にするだったり。アセットマネジメント的サービスに携わり出してから、この手のニュースを読むようになってきた。

Microsoft #microsoft #ms

AzureAD #idp

99.99% uptime by Azure AD

3/15からAzure AD 99.99%アップタイムに

ワシントン大学が考えるリスキーな権限

Defender #xdr #edr

Sentinel #siem

Bring Threat Intelligence from IntSights Using TAXII Data Connector

Taxiiサーバーを提供するIntSightsサービスからIoCをSentinelに入れるというやつ

Handling ingestion delay in Azure Sentinel scheduled alert rules

データの注入にともなう遅延とその対応について

もしイベントが生成されたlook back periodに、遅延が発生してイベントがワークスペースに注入されない場合、次回のクエリ実行時（look back period）では、生成時間フィルタによって除外されちゃう

一方、雑にloop back periodを伸ばすとかぶってしまう

なのでkustoのwhere句で、生成時と注入時をチェックする

ただ、テーブル毎にそれがあるので、複数テーブルを使う場合は考慮が必要

Compliance

他

Protect your AWS Environment using Microsoft Cloud App Security

Mcasでもsecurity hub/confiっぽいの使えるよって話

Microsoft Azure Attestation is now generally available

実際に利用される前の、環境のトラストとアイデンティティを確保できる技術

Azure Attestation自体は Client（agent?）から送られてきたデータを、ポリシーに準拠しているかattestする

AWS #aws

How to approach threat modeling

AWSでthreat modelをするには...ではない。threat modelをするときのtipsみたいな話

チームメンバーの召集

フレームワークはなんでもいいけど一貫したやりかた

ソフトウェアデリバリと合わせる

既存のワークフローツールに乗せる

オーナーシップを分散する

エントリポイントの特定

STRIDE/OWASTP Top10/HiTrust Threat Catalogをつかった驚異の特定、緩和策の投入

新しい機能からやれば？的なレコメンデーション

Security Logging in Cloud Environments - AWS

AWS上のセキュリティログに関するまとめ。実践的カモ

API Call Logs, アプリログ、アクセスログ、データイベント、プラットフォームログ、DNSログにわけてる

S3アクセスログを保管するとき、その保管先のS3に対するアクセスログとかどうすればいいのかな、って気持ちはある

KinesisがSPOFになる構成だな〜とも。

How to protect sensitive data for its entire lifecycle in AWS

センシティブなデータをライフサイクルを通してどうプロテクトするかって話

具体的には、CFを利用した時の想定。origin requestにkmsの非対称鍵を使うlambda edge紐付けるって話

パフォーマンス大丈夫かしｆらん

AWS Config で使用される S3 バケットでの KMS 暗号化のサポート

そのまんま

Google

Google WorkspaceがIE11のサポート終了 by 3/15

Reminder: Ending support for IE11 for all Google Workspace apps on March 15

Cloud Security Podcast by Google

Googleのクラウド系セキュリティポッドキャストができたっぽい

Google Workspace Update Weekely Recap

トラスト/ガバナンス #trust

セコム - EUの技術標準 -- デジタル単一市場戦略の中核となるトラスト --

中国もやってる標準化戦略。

やっぱり中国もやってるデジタルな単一市場形成のための戦略でもある

そのために、法的にも技術的にも相互運用性を確保する

次の図で、上のものほど法的相互運用性の性格が強い。下のものほど技術的相互運用性

https://gyazo.com/f09d93f00b50fbcdddf3cceafecf3742

ムズい、一発で頭にはいってこないのでまた見る

https://gyazo.com/e7f284d4d499e4588a5ec91306a6fe7d

PSDの技術標準やAcrobatのもある

eIDAS Regulation: Brexit and the electronic trust services providers law

eIDASレギュレーションにはBrexit後のイギリス企業デジタル署名も含まれるよ、って話

Consultation on proposed Digital Identity legislation

オーストラリア版デジタル庁「Digital Transformation Agency」が発行したConsultation(?) Paper

consultaion paper = パブコメ?

DTAが提案したオーストラリアのデジタルアイデンティティシステムを堅牢にするための立法に対する44つのフィードバッをまとめたもの

以下がポイント

Governance of the system

Liability Framework

Administration of charges for Digital Identity

Scope of the legislation and interoperability with other systems

Privacy and other safeguards

Consistency of laws

合わせて読みたい -> 今、なぜ中国のデジタル人民元が重要か

ENISA- CEN/CENELEC ETSI Cybersecurity Standardization

EUのシリコン製造業者によるプロポーザル（のポンチ絵）

グローバルでの規制・基準・認証にあわせた、コストベネフィットが最適化されたセキュリティ

リスクアセスメントのAssurance が self-assessment / third partyってのが何故かいいな、って思った

オープンプロセスによって、COCOAの信頼を再構築する

ブロックチェーン #blockchain

多様なブロックチェーン基盤はそれぞれどのような特性を持つのか

全体レポートはこちら

https://layerx.co.jp/labs/insights/leaf_privacy/

Corda, Hyperledger Fabric, Quorumから逆算したエンプラ・ブロチェ基本設計およびプライバシーの比較

基本設計: セキュリティ、状態遷移ロジック（スマコ）の柔軟性が軸

セキュリティ

コンセンサスの故障耐性、コンセンサスのネットワークモデル、Livenessの喪失、Validityの喪失

状態遷移ロジック（スマコ）の柔軟性

1回の状態遷移で読み書きできる状態データの範囲、状態遷移ロジックの表現力、状態遷移ロジックの更新難易度

プライバシー

プライバシー保護レベル、Private Ledgerのセキュリティ、Private Ledgerの柔軟性

プライバシー強化技術:

解釈不可能型: 参加者全員が状態遷移を検証しつつ、秘匿化・匿名化を実現

アベイラビリティ制御型: はトランザクションデータに対してアクセスできるノードを一部に制限することで秘匿化・匿名化を実現

基本的にエンプラはこっちが多い

脅威/脆弱性 #vulnerability #threat #security

Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies

大手のSW企業に対して実行したRFIのテクニック

著者はちゃんと企業に同意を得てからやっている。実行する場合は必ず攻撃先の企業から同意を得てからやるように

パッケージ管理システム(pip/npmなど)の挙動を理解し、Insecure by Defaultなオプションを使うソフトウェアを特定して、maliciousな同名パッケージを作っておいたら、それが取得されて、中のコードが実行されたよ...という話

著者はDepdency Confusionとよんでいる

仮想通貨事業者を標的にした攻撃キャンペーンに関する脅威情報のハンティン

マルウェア(lnkファイル)とC2サーバーに対するハンティングで攻撃キャンペーンを調査した話

lnkファイル

実行exeファイルやその引数、machine ID/mac addressからyaraルール

C2サーバー

IP, ポート番号, html hashやstatus code, faviconのhashからshodanやcensysで調査

本物のウェブアクセスログを使用した、機械学習による異常検知(全データ/ソースコード公開)

Isolation Forestを使った教師なし学習について

データはハーバードのものを、ソースコードも公開されている

特徴ベクトルの考え方などが書いてあって参考になる

金融 #financial

経済安全保障の視点で見る「中央銀行デジタル通貨（ＣＢＤＣ）」

中国のCBDCの狙い

経済安全保証は、1)経済ツールを活用した国益の追求 2)リスク対処能力を向上させるための経済強化（経済レジリエンス）3)自国に優位と平和を構築するルール形成にわけられる

中国CBDCは、一帯一路構想が1)、ガバナンス改善が2), 国際標準化が3)にあたる

Emerging Trends in Real Estate® Asia Pacific 2021

2021に不動産価値が下落することを見越したレポート。

不動産を運転資金を得るためのアセットライトなビジネスモデルに移行する企業が増えるはず

投資家もオフィスビルやホテルから、マルチファミリー・DC・物流施設などより安定的な収入を見込める資産に映る

流動性が高く安定的で内需の底堅い市場を持つ主要都市が好まれる傾向

シンガポール、東京、シドニー、韓国

Debt is Coming

EquityだけじゃなくてDebtファイナンシングもくるんじゃない？という話

シリコンバレーがEquityちっくにやってたけど、オプションの売却も結構コストかかって大変だよね

なんで今無い（Equityだけなのかは）、金融企業がそもそもソフトウェア企業への融資ノウハウを知らないだけ

また、シリコンバレー的には今までEquityでやってたから抵抗感があるだけじゃない？

経常収益という資本をベースにした資金調達なだ、もっとコンパクトで身の丈にあった資金調達ができるはずだ、という主張

転換点は、誰か（地元の大企業を予想）が、経常収益の証券化という新しい融資商品を発表したときに起こる

経常収益のシニアトランシェを証券化し、それをバランスシートから外してしまえばいいのではないでしょうか？高品質のスタートアップがこの方法で成長資金を調達することを想像してみてください。製品を確立し、市場に投入し、最初の大規模なユーザーの集まりを理解したら、彼らが生み出すキャッシュフローの最初のX%を証券化して、バランスシートから外し、その資金を次のユーザーの集まりを作るために使用します。ビジネスの他の部分を成長させるために株式を調達し続けてください。

行政/会社/団体

総務省サイバーセキュリティタスクフォース（第28回）

サイバーセキュリティ統合知的・人材育成基盤を構築予定らしい

CS情報を収集・蓄積・分析・提供して、社会全体でCS人材を育成するための基盤

第7回産業サイバーセキュリティ研究会ワーキンググループ2（経営・人材・国際）

サプライチェーン・サイバーセキュリティ・コンソーシアム、経営、中小・地域、人材、国政について話したみたい

ツール/サービス/OSS #tools

GoとMySQLを用いたジョブキューシステムを作るときに考えたこと

2014の記事だけど、ジョブキューシステムに付いて勉強になった

GoによるAPIとMySQLを使う理由がきちんと説明

キューの数についても、増減とジョブとキューのルーティング割当をAPIでするなど

ジョブ名とキューのルーティング割当を専用テーブルで管理